Невъзможност да се качи антивирусен продукт ?!?

regbor · Септември 3, 2009

Наскоро попаднах на един лаптоп, изоставен отвсякъде ... без защитна стена,без антивирусна защита и т.н. По принцип функционира

нормално, като изключим около 200-тате троянеца , които махнах чрез Spybot S&D (единственото което успях да кача)... Всеки друг

опит да кача някакъв антивирусен продукт беше неуспешен... Още докато набирам страницата или препратката към някаква антивирусна

и цялата сесия се затваря сама, остава само десктопа. Не ми позволи да сваля и Hi Jack-а поне да видя за какво става въпрос...

Някой има ли идея каква е причината?

draco_volans · Септември 4, 2009

Според мен причината са гадинки, които като усетят че набираш адреса на антивирус и веднага ти хлопват вратата... Може rootkit-че да има... Щом S&D толкова много е махнал, колко ли гадинки са останали... Пробвай да дръпнеш антивирусна не от официален сайт... Например тракер (не задължително да е пиратска)... Можеш да потърсиш Malwarebyte's Antimalware и SuperAntispyware Free от такива места и да направиш сканиране с тях... Предполагам, някой по-голям разбирач също ще вземе отношение по въпроса...

Можеш да изтеглиш нужните програми и от друг компютър да ги запишеш на диск (не на флашка!) и да ги инсталираш от него. Към тези програми можеш да включиш и GMER (правиш бързо сканиране с него, отказваш пълното сканиране), ESETSysInspector (съхраняваш лога без да го разархивираш). Можеш да качиш логовете тук (от сканираниятя с антивирусните и с по горните програмки), включително и от сканирането с HiJackThis (преименувай екзето на програмата на друго име, преди да я стартираш).

crazyfrog · Септември 4, 2009

Аз бих преинсталирал.

Night_Raven · Септември 4, 2009

Един лог от ESET SysInspector може да е от помощ:

1) стартирай я, скролирай до долу и кликни I Agree, след което изчакай да събере информацията;

2) меню File -> Save Log;

3) потвърди с Yes;

4) не променяй изходния ZIP формат, запази файла на удобно за теб място и го прикачи после към коментара си (не го разархивирай).

Изтегли GMER. Разархивирай и стартирай програмата. Тя ще направи начално сканиране за секунди. След като то приключи НЕ кликай бутон Scan, а кликни бутон Copy и после пейстни съдържанието тук (Ctrl+V). Ако програмата предложи да направи пълно сканиране, откажи.

Сваляй от нашите миръри, ако не е достъпно да сваляш от официалните линкове.

regbor · Септември 4, 2009

Пропуснах да добавя, че SysInspectora na NOD също не може да се качи, а така също и антивирусни от други източници...просто

страницата се затваря! Успях да сканирам с онлайн скенера на ЕСЕТ,но зА мое голямо учудване не откри нищо... А проблема с

качването на антивирусна остава...

Night_Raven · Септември 4, 2009

Как така не иска да се качи? Опита ли да свалиш програмата от сайта, който ти дадох и от миръра на Superhosting?

regbor · Септември 5, 2009

Опитах, но без успех. В момента в който започне да зарежда за да сваля, процеса на сваляне спира...

B-boy/StyLe/ · Септември 5, 2009

Пробвай да изтеглиш този файл (ComboFix), който съм преименувал нарочно на sVchost.exe , но НЕ ГО СТАРТИРАЙ все още.

Запaзи го на Десктопа и от START => RUN въведи следната команда:

"%userprofile%\desktop\sVchost.exe" /stepdel

Копирай лог файла, който програмата ще създаде след рестарта на машината.

regbor · Септември 5, 2009

ComboFix 09-09-04.02 - Petia 05.09.2009 17:04.1.1 - FAT32x86

Microsoft Windows XP Home Edition 5.1.2600.2.1251.359.1033.18.502.174 [GMT 3:00]

Running from: c:\documents and settings\Petia\Desktop\ComboFix.exe

Command switches used :: /stepdel

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\program files\WinPCap

c:\program files\WinPCap\daemon_mgm.exe

c:\program files\WinPCap\npf_mgm.exe

c:\program files\WinPCap\rpcapd.exe

c:\windows\Installer\WMEncoder.msi

c:\windows\system32\bootvidl.exe

c:\windows\system32\drivers\npf.sys

c:\windows\system32\Packet.dll

c:\windows\system32\pthreadVC.dll

c:\windows\system32\WanPacket.dll

c:\windows\system32\wpcap.dll

c:\documents and settings\Petia\Application Data\wiaserva.log

c:\windows\rasqervy.dll

c:\windows\sdfinacs.dll

c:\windows\sdfixwcs.dll

c:\windows\system32\2646507927.dat

c:\windows\system32\drivers\d0162d80.sys . . . . failed to delete

c:\windows\system32\kdpini.dll

c:\windows\wuasirvy.dll

D:\Autorun.inf

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_NPF

-------\Legacy_termservicenmsaccessu

-------\Service_NPF

-------\Service_TermServiceNMSAccessU

-------\Service_d0162d80

((((((((((((((((((((((((( Files Created from 2009-08-05 to 2009-09-05 )))))))))))))))))))))))))))))))

.

2009-08-28 23:40 . 2009-08-28 23:40 39936 ----a-w- c:\windows\system32\237d3e837cccc498941ec8b2180b3da2.sys

2009-08-25 18:35 . 2009-08-25 18:35 -------- d-----w- c:\windows\system32\NtmsData

2009-08-24 21:01 . 2009-08-24 21:02 -------- d-----w- c:\program files\Spybot - Search & Destroy

2009-08-23 19:46 . 2009-08-23 19:47 -------- d-----w- c:\temp\Fracture.2007.DVDRip.XViD.AC3.iNT-CiMG

2009-08-22 00:45 . 2009-08-22 00:45 -------- d-----w- c:\temp\Ice Age 3 - Dawn Of The Dinosaurs (2009) - R5.LiNE.Subs (In Sync) - FUSiON

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-05 14:11 . 2009-05-31 09:12 99776 ----a-w- c:\windows\system32\drivers\d0162d80.sys

2009-09-05 14:09 . 2008-01-27 06:01 12 ----a-w- c:\windows\bthservsdp.dat

2009-05-23 07:05 . 2009-04-17 11:48 67088 ----a-w- c:\program files\mozilla firefox\components\bcbfcaafdbaeb.dll

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2005-02-04 102490]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-02-04 708698]

"EPM-DM"="c:\acer\Empowering Technology\ePower\epm-dm.exe" [2005-11-10 212992]

"Acer ePower Management"="c:\acer\Empowering Technology\ePower\Acer ePower Management.exe" [2005-11-09 3084288]

"ADMTray.exe"="c:\acer\Empowering Technology\admtray.exe" [2005-10-24 2462208]

"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2005-11-08 128920]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-08-24 94208]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-08-24 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-08-24 114688]

"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]

"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-06 57344]

"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-04-15 77824]

"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-03 110592]

c:\documents and settings\All Users\Start Menu\Programs\Startup\

Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2005-9-19 581693]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\bfbafeffaecaf]

2006-05-08 04:14 280079 ----a-w- c:\windows\system32\bfbafeffaecaf.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"wave1"=c_693237.nls

"midi1"=c_693237.nls

"mixer1"=c_693237.nls

"wave2"=c_693237.nls

"midi2"=c_693237.nls

"mixer2"=c_693237.nls

"aux2"=c_693237.nls

"aux1"=c_693237.nls

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk]

path=c:\documents and settings\All Users\Start Menu\Programs\Startup\Adobe Reader Speed Launch.lnk

backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"WMPNetworkSvc"=3 (0x3)

"usnjsvc"=3 (0x3)

"gusvc"=3 (0x3)

"AWService"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\FlashGet\\flashget.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

"AllowInboundEchoRequest"= 1 (0x1)

"AllowInboundTimestampRequest"= 1 (0x1)

"AllowInboundMaskRequest"= 1 (0x1)

"AllowInboundRouterRequest"= 1 (0x1)

"AllowOutboundDestinationUnreachable"= 1 (0x1)

"AllowOutboundSourceQuench"= 1 (0x1)

"AllowOutboundParameterProblem"= 1 (0x1)

"AllowOutboundTimeExceeded"= 1 (0x1)

"AllowRedirect"= 1 (0x1)

"AllowOutboundPacketTooBig"= 1 (0x1)

R2 NwSapAgent;SAP Agent;c:\windows\system32\svchost.exe -k netsvcs [04.08.2004 5:00 14336]

S0 237d3e837cccc498941ec8b2180b3da2;237d3e837cccc498941ec8b2180b3da2;c:\windows\system32\237d3e837cccc498941ec8b2180b3da2.sys [29.08.2009 2:40 39936]

S3 UnlockerDriver4;UnlockerDriver4 Driver;c:\program files\Unlocker\UnlockerDriver4.sys [25.07.2005 6:31 3584]

.

------- Supplementary Scan -------

.

IE: &Сваляне на всички с FlashGet - c:\progra~1\FlashGet\jc_all.htm

IE: &Сваляне с FlashGet - c:\progra~1\FlashGet\jc_link.htm

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

TCP: {0287E462-2975-49A3-A896-3A1BF3BC82DF} = 10.28.4.1

FF - ProfilePath - c:\documents and settings\Petia\Application Data\Mozilla\Firefox\Profiles\nbt5h1zi.default\

FF - component: c:\program files\Mozilla Firefox\components\bcbfcaafdbaeb.dll

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-05 17:11

Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\d0162d80]

"ImagePath"="\SystemRoot\System32\drivers\d0162d80.sys"

.

--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8e9a-4d4e-9ee9-17a0e48d3bbb}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8e9a-4d4e-9ee9-17a0e48d3bbb}\elevation]

"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8e9a-4d4e-9ee9-17a0e48d3bbb}\localserver32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8e9a-4d4e-9ee9-17a0e48d3bbb}\typelib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1d4c8a81-b7ac-460a-8c23-98713c41d6b3}]

@Denied: (A 2) (Everyone)

@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1d4c8a81-b7ac-460a-8c23-98713c41d6b3}\proxystubclsid32]

@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1d4c8a81-b7ac-460a-8c23-98713c41d6b3}\typelib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(924)

c:\windows\system32\bfbafeffaecaf.dll

- - - - - - - > 'explorer.exe'(3160)

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\btncopy.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Other Running Processes ------------------------

.

c:\program files\INTEL\WIRELESS\BIN\EVTENG.EXE

c:\program files\INTEL\WIRELESS\BIN\S24EVMON.EXE

c:\program files\WIDCOMM\BLUETOOTH SOFTWARE\BIN\BTWDINS.EXE

c:\program files\CDBURNERXP\NMSACCESSU.EXE

c:\program files\INTEL\WIRELESS\BIN\REGSRVC.EXE

c:\windows\SYSTEM32\SNMP.EXE

c:\windows\system32\wscntfy.exe

c:\progra~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

.

**************************************************************************

.

Completion time: 2009-09-05 17:13 - machine was rebooted

ComboFix-quarantined-files.txt 2009-09-05 14:13

Pre-Run: 6 651 346 944 bytes free

Post-Run: 6 518 243 328 bytes free

185 --- E O F --- 2009-04-16 21:31

SexyGazar4e · Септември 5, 2009

Дай Start -> Run и пиши msconfig , после в таба BOOT.INI виж какво ще ти излезне и го копирай тук.

Отиди после на Services , дай тикчето на Hide all Microsoft Services , и пиши пак какво ти излиза ( кой процеси са активни и кой не са )

После отиди в Startup и пиши пак кой са активните процеси и командата..

*Пример:

Startup tem: Command:

VMSnap23.exe C:\Windows\VMSnap23.exe

B-boy/StyLe/ · Септември 5, 2009

СТЪПКА 1

Първо спри защитата на Spybot S & D => TeaTimer => Отиди на Mode => премини в Advanced Mode.

Сега разгърни Tools => Resident => и премахни отметката пред TeaTimer, но остави тази на SDHelper.

http://wiki.pomona.edu/pub/FAQ/TeaTimer/EnableTeaTimer.PNG

СТЪПКА 2

Отвори notepad и чрез copy/paste въведи:

KILLALL::
Driver::
237d3e837cccc498941ec8b2180b3da2
NwSapAgent
Rootkit::
c:\windows\system32\drivers\d0162d80.sys
c:\windows\system32\237d3e837cccc498941ec8b2180b3da2.sys
File::
c:\program files\mozilla firefox\components\bcbfcaafdbaeb.dll
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\bfbafeffaecaf]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"=-
"midi1"=-
"mixer1"=-
"wave2"=-
"midi2"=-
"mixer2"=-
"aux2"=-
"aux1"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000000
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\d0162d80]
Firefox::
FF - component: c:\program files\Mozilla Firefox\components\bcbfcaafdbaeb.dll
reglock::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8e9a-4d4e-9ee9-17a0e48d3bbb}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8e9a-4d4e-9ee9-17a0e48d3bbb}\elevation]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8e9a-4d4e-9ee9-17a0e48d3bbb}\localserver32]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8e9a-4d4e-9ee9-17a0e48d3bbb}\typelib]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1d4c8a81-b7ac-460a-8c23-98713c41d6b3}]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1d4c8a81-b7ac-460a-8c23-98713c41d6b3}\proxystubclsid32]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1d4c8a81-b7ac-460a-8c23-98713c41d6b3}\typelib]

Запази файла с име CFScript и го провлачи чрез drag/drop в ComboFix.

http://img522.imageshack.us/img522/482/cfscriptyr1.gif

Това ще стартира ComboFix още веднъж.

Публикувай лог файла в следващия си пост.

regbor · Септември 5, 2009

ComboFix 09-09-05.02 - Petia 06.09.2009 1:09.2.1 - FAT32x86

Microsoft Windows XP Home Edition 5.1.2600.2.1251.359.1033.18.502.224 [GMT 3:00]

Running from: c:\documents and settings\Petia\Desktop\ComboFix.exe

Command switches used :: c:\documents and settings\Petia\Desktop\CFScript.txt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::

"c:\program files\mozilla firefox\components\bcbfcaafdbaeb.dll"

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\program files\Mozilla Firefox\components\bcbfcaafdbaeb.dll

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_237D3E837CCCC498941EC8B2180B3DA2

-------\Legacy_NWSAPAGENT

-------\Service_237d3e837cccc498941ec8b2180b3da2

-------\Service_NwSapAgent

-------\Service_d0162d80

((((((((((((((((((((((((( Files Created from 2009-08-05 to 2009-09-05 )))))))))))))))))))))))))))))))

.

2009-08-28 23:40 . 2009-09-05 22:13 39936 ----a-w- c:\windows\system32\237d3e837cccc498941ec8b2180b3da2.sys

2009-08-25 18:35 . 2009-08-25 18:35 -------- d-----w- c:\windows\system32\NtmsData

2009-08-24 21:01 . 2009-08-24 21:02 -------- d-----w- c:\program files\Spybot - Search & Destroy

2009-08-23 19:46 . 2009-08-23 19:47 -------- d-----w- c:\temp\Fracture.2007.DVDRip.XViD.AC3.iNT-CiMG

2009-08-22 00:45 . 2009-08-22 00:45 -------- d-----w- c:\temp\Ice Age 3 - Dawn Of The Dinosaurs (2009) - R5.LiNE.Subs (In Sync) - FUSiON

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-05 22:13 . 2008-01-27 06:01 12 ----a-w- c:\windows\bthservsdp.dat

.

((((((((((((((((((((((((((((( SnapShot@2009-09-05_14.11.47 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-09-05 22:15 . 2009-09-05 22:15 16384 c:\windows\temp\Perflib_Perfdata_71c.dat